Контроль за разработкой, производством и применением шифровальных (криптографических) средств в России.
Законодательством Российской Федерации ответственность за разработку, производство и применение шифровальных средств была возложена на Федеральное агентство правительственной связи и информации при Президенте РФ, преобразованное в 2003 г. в Службу специальной связи и информации при Федеральной службе охраны РФ. В соответствии с «Положением о Федеральной службе безопасности Российской Федерации», утвержденным Указом Президента РФ № 960 от 11 августа 2003 г., значительная часть функций по обеспечению защиты информации, обрабатываемой и передаваемой с помощью криптографических и технических средств, передана Центру безопасности связи ФСБ, Основными из этих функций являются:
- координация на безвозмездной основе, в интересах обеспечения государственной тайны и иной тайны, охраняемой законом, деятельности организации, предприятии, учреждении независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи;
-координация деятельности центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений по обеспечению криптографической и инженерно-технической безопасности шифрованной связи в России и ее учреждениях за рубежом. При этом федеральные органы безопасности имеют право:
-определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;
-определять порядок и обеспечивать выдачу лицензий на экспорт и импорт шифровальных средств и нормативно-технической документации на их производство и использование; участвовать в определении порядка и обеспечении выдачи лицензий на экспорт и импорт защищенных технических средств передачи, обработки и хранения секретной информации;
- осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной связи в органах государственной власти субъектов РФ, в центральных органах федеральной исполнительной власти, в организациях, на предприятиях, в банках и иных учреждениях независимо от их ведомственной принадлежности, а также секретно-шифровальной работы в учреждениях, находящихся за рубежом Российской Федерации (кроме секретного делопроизводства в загранаппаратах Службы внешней разведки).
Таким образом, все вопросы, связанные с разработкой, производством, закупкой и применением шифровальных средств, независимо от области их использования, должны координироваться с ФСБ. При этом, если такие средства предназначены для защиты государственной тайны, указанные вопросы находятся в полном ведении ФСБ. Так, в соответствии с Указом Президента РФ № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. государственным организациям и предприятиям запрещается использовать в информационно-телекоммуникационных системах шифровальные средства, включая криптографические средства обеспечения подлинности информации (электронная подпись), не имеющие соответствующего сертификата.
В отношении информации ограниченного доступа, не содержащей сведений, составляющих ГТ (конфиденциальной информации), эти вопросы регулируются специальным «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (ПКЗ-2005), утвержденным Приказом ФСБ № 66 от 9 февраля 2005 г. При этом под средствами криптографической защиты информации (СКЗИ) понимаются:
1) средства шифрования -- аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
2) средства имитозащиты - аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
3) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, реализующие на основе криптографических преобразований хотя бы одну из следующих функций: создание ЭЦП с помощью закрытого ключа ЭЦП, подтверждение подлинности ЭЦП с помощью открытого ключа ЭЦП электронной цифровой подписи, создание закрытых и открытых ключей ЭЦП;
4) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части, преобразования путем ручных операции или с использованием автоматизированных средств на основе таких операций;
5) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
6) ключевые документы (независимо от вида носителя ключевой информации).
А. Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: -
если информация конфиденциального характера подлежит защите в соответствии с законодательством РФ;
-при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации; -
при организации криптографической защиты информации конфиденциального характера в организациях, независимо от их организационно-правовой формы и формы собственности, при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
-если обязательность защиты информации конфиденциального характера возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации; -
при обрабатывании информации конфиденциального характера, обладателями которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности с помощью средств криптографической защиты;
-при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
Б. Требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации: -
средств криптографической защиты информации, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы; -
средств криптографической защиты информации открытых и общедоступных государственных информационных ресурсов РФ;
-средств ЭЦП, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера; - информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
В. Настоящее Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства.
Режим защиты информации с помощью СКЗИ устанавливается обладателем информации конфиденциального характера, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации.
Применение СКЗИ при организации обмена информацией.
При организации обмена информацией конфиденциального характера, участниками которого являются государственные органы и организации, выполняющие государственные заказы, необходимость криптографической защиты информации и выбор применяемых СКЗИ определяются государственными органами или организациями, выполняющими государственные заказы.
При организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством РФ не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмена.
Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи по каналам связи, а также выбор применяемых СКЗИ определяются обладателем или пользователем (потребителем) данной информации.
Требования к средствам криптографической защиты информации.
СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом № 184-ФЗ «О техническом регулировании» от 27 декабря 2002 г.
Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью защиты информации при ее передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении, а также к условиям размещения СКЗИ при их использовании. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством РФ. Реализация в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи требований по безопасности информации возлагается на разработчика СКЗИ.
Основным механизмом регулирования применения СКЗИ в государстве является лицензирование деятельности по их разработке, использованию и распространению и сертификации продукции.
В соответствии с Федеральным законом № 128-ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. обязательному лицензированию подлежат следующие виды деятельности: 1)
распространение шифровальных (криптографических) средств; 2)
техническое обслуживание шифровальных (криптографических) средств; 3)
предоставление услуг в области шифрования информации; 4)
разработка и производство шифровальных (криптографических) средств, а также информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств; 5)
выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП, оказание услуг, связанных с использованием ЭЦП, подтверждение подлинности электронных цифровых подписей.
Механизм лицензирования первых четырех из перечисленных видов деятельности определен Постановлением Правительства РФ № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от 23 сентября 2002 г.